Ciasteczkowa rewolucja – co dalej z plikami cookies?
W ostatnim roku organy nadzorcze w UE dużo uwagi poświęcały plikom cookies i innym technologiom śledzącym stosowanym na stronach internetowych. To zainteresowanie miało swoje źródło m.in. w licznych skargach organizacji NOYB złożonych w ubiegłym roku do organów nadzorczych i zaowocowało w ostatnich miesiącach wytycznymi i kilkoma decyzjami organów nadzorczych (m.in. Belgii, Francji i Austrii). Ponieważ mogą one wpływać na kształtowanie się podejścia organów nadzorczych do stosowania plików cookies, warto omówić najważniejsze wnioski płynące z tych decyzji.
Pliki cookies a transfery danych do USA
Duża część narzędzi opierających się o pliki cookie i inne technologie śledzące, które są powszechnie wykorzystywane przez operatorów stron internetowych w UE (m.in. w celach analitycznych czy statystycznych), oferowanych jest przez firmy z siedzibą w Stanach Zjednoczonych, tj. w państwie trzecim w rozumieniu RODO. Niesie to określone konsekwencje na gruncie RODO – korzystanie z takich narzędzi może wiązać się z przekazywaniem danych do państwa trzeciego i jako takie musi spełniać wymogi określone w rozdziale V RODO.
To właśnie dopuszczalności transferu danych do USA w związku z korzystaniem przez różne strony internetowe z narzędzi Google Analytics i Facebook Connect (opierających się o pliki cookies i inne technologie śledzące) poświęconych zostało 101 identycznych skarg złożonych przez NOYB do 30 organów nadzorczych w EOG.
Skargi te zaowocowały pierwszymi decyzjami organów nadzorczych w UE, które badają dopuszczalność przekazywania danych osobowych z EOG do Google i Facebooka w USA w związku z wykorzystywaniem plików cookies w ramach ww. narzędzi.
Decyzja austriackiego organu
W decyzji z dnia 22 grudnia 2021 r. austriacki organ nadzorczy (Datenschutzbehörde) stwierdził, że korzystanie przez operatora strony internetowej z plików cookies Google Analytics narusza zarówno rozdział V RODO, który ustanawia zasady dotyczące transferu danych do państw trzecich i organizacji międzynarodowych, jak i konkluzje poczynione przez TSUE w wyroku w sprawie Schrems II[1].
W swojej decyzji austriacki organ uznał, że korzystanie z plików cookies Google Analytics przez austriacką stronę internetową wiąże się z gromadzeniem, a następnie przesyłaniem danych osobowych, w tym unikalnych numerów identyfikacyjnych użytkownika, adresów IP i parametrów przeglądarki, do Google w Stanach Zjednoczonych.
W ocenie austriackiego organu standardowe klauzule umowne (SCC) zawarte między operatorem strony internetowej a Google nie zapewniają odpowiedniego stopnia ochrony w rozumieniu RODO przede wszystkim z dwóch przyczyn:
- Google jest dostawcą usług łączności elektronicznej i podlega amerykańskim regulacjom dotyczącym inwigilacji przez amerykańskie agencje wywiadowcze (tj. Section 702 FISA),
- środki uzupełniające o charakterze technicznym, organizacyjnym i umownym podjęte przez Google w ramach narzędzia Google Analytics nie są wystarczające, aby zapobiec lub ograniczyć możliwość dostępu amerykańskich służb wywiadowczych do przekazywanych danych osobowych, tj. nie zapewniają odpowiedniego stopnia ochrony danych osobowych przekazywanych do USA.
Organ odrzucił jednocześnie argument Google, że dane gromadzone za pomocą plików cookie, a następnie przekazywane do USA, nie dotyczą ani nie identyfikują bezpośrednio konkretnych osób, tj. nie stanowią danych osobowych. W ocenie organu adresy IP, w szczególności w połączeniu z identyfikatorami internetowymi, pozwalają na identyfikację konkretnych osób fizycznych i kwalifikują się jako dane osobowe. W tym zakresie organ zauważa, że rzeczywista i natychmiastowa identyfikacja nie jest konieczna, aby takie dane można było uznać za dane osobowe. Ponadto fakt, że informacje umożliwiające identyfikację osoby fizycznej znajdują się w posiadaniu różnych podmiotów (a nie jednego), również nie ma znaczenia dla uznania, że osoba jest możliwa do zidentyfikowania, a informacje te mają charakter danych osobowych.
Decyzja jest efektem jednej ze 101 identycznych skarg dotyczących korzystania przez różne firmy z Google Analytics i Facebook Connect złożonych przez NOYB do 30 organów nadzorczych w EOG. Skargi dotyczą kwestii dopuszczalności przekazywania danych osobowych z EOG do Google i Facebooka w USA w związku z wykorzystywaniem plików cookies w ramach ww. narzędzi.
Decyzja EDPS w sprawie strony internetowej Parlamentu Europejskiego
Do analogicznych wniosków doszedł Europejski Inspektor Ochrony Danych (EIOD) w decyzji z 5 stycznia 2022 r. skierowanej przeciwko Parlamentowi Europejskiemu. Sprawa dotyczyła wykorzystywania plików cookies na jednej ze stron Parlamentu Europejskiego i związanego z tym przekazywania danych osobowych posłów do Parlamentu Europejskiego i ich personelu do firmy z siedzibą w USA (m.in. do Google w ramach narzędzia Google Analytics).
EIOD podkreślił, że stosowanie standardowych klauzul umownych nie zastępuje indywidualnej oceny transferu, którą musi przeprowadzić eksporter (administrator) danych zgodnie z wyrokiem w sprawie Schrems II w celu ustalenia, czy w kontekście konkretnego przekazania państwo trzecie przeznaczenia zapewnia przekazywanym danym zasadniczo równoważny poziom ochrony jak w UE. Z tego względu eksporter danych (tutaj: administrator strony internetowej) w stosownych przypadkach we współpracy z importerem danych w państwie trzecim musi przeprowadzić ocenę skuteczności proponowanych zabezpieczeń przed dokonaniem transferu danych i w razie potrzeby wdrożyć odpowiednie środki uzupełniające (umowne, techniczne i organizacyjne) zapewniające zasadniczo równoważny poziomu ochrony przekazywanych danych osobowych. W tej sprawie EIOD udzielił Parlamentowi Europejskiemu upomnienia, ponieważ doszedł do wniosku, że Parlament Europejski nie dostarczył żadnej dokumentacji, dowodów ani innych informacji dotyczących środków umownych, technicznych lub organizacyjnych mających zapewnić zasadniczo równoważny poziom ochrony danych osobowych przekazywanych do USA w kontekście wykorzystywania plików cookies na przedmiotowej stronie internetowej.
Działania innych organów nadzorczych
Podobne wątpliwości co do stosowania narzędzia Google Analytics zasygnalizował również holenderski organ nadzorczy, który wydał ostrzeżenie co do korzystania z narzędzia Google Analytics, oraz francuski organ nadzorczy (Commission Nationale de l'Informatique et des Libertés, CNIL). Ten ostatni w swojej decyzji z 10 lutego 2022 r. stwierdził, że transfery danych dokonywane w ramach narzędzia Google Analytics są niezgodne z prawem, i nakazał francuskiemu operatorowi strony internetowej dostosować ją do wymogów RODO i, jeśli to konieczne, zaprzestać korzystania z usługi Google Analytics na obecnych warunkach i skorzystać z narzędzia, które nie będzie wiązało się z transferem danych poza UE. CNIL zapowiedział, że analizie poddane zostaną również inne narzędzia wykorzystywane na stronach internetowych (pliki cookies i inne technologie śledzące), które prowadzą do przekazywania danych użytkowników z UE do USA.
Decyzje dotyczące korzystania z narzędzi Google mogą mieć istotne znaczenie dla administratorów stron internetowych w UE – w większości w celach analitycznych i statystycznych korzystają oni właśnie z narzędzia Google Analytics albo innych narzędzi wykorzystujących pliki cookies lub inne technologie śledzące oferowanych przez podmioty z USA.
Zgoda na pliki cookies
Istotne znaczenie dla uzyskiwania ważnych zgód na pliki cookies – obok decyzji belgijskiego organu w sprawie IAB Europe – mają m.in. francuskie decyzje w sprawie banerów cookies.
Od maja 2021 r. francuski organ ochrony danych (Commission Nationale de l'Informatique et des Libertés, CNIL) wydał ponad 90 decyzji nakazowych przeciwko podmiotom, które dopuszczają się różnych nieprawidłowości w zakresie stosowania plików cookie. Do najczęściej identyfikowanych nieprawidłowości należały następujące praktyki:
- pliki cookies wymagające zgody użytkownika były automatycznie umieszczane na jego urządzeniu końcowym przed ich akceptacją po wejściu przez użytkownika na stronę,
- banery cookies nie pozwalały użytkownikowi odrzucić plików cookies równie łatwo, jak je zaakceptować,
- banery cookies co prawda umożliwiały użytkownikowi równie łatwe odrzucenie plików cookies, ale stosowany mechanizm nie był skuteczny, ponieważ pliki cookies wymagające zgody były nadal przechowywane po ich odrzuceniu przez użytkownika.
Kontynuując swoje postępowania w zakresie plików cookies, na początku stycznia 2022 r. CNIL nałożył kolejne kary za naruszenia związane ze stosowaniem plików cookies: w wysokości 150 mln EUR na Google (90 mln na Google LLC i 60 mln na Google Ireland Ltd) oraz 60 milionów euro na Facebook Ireland Limited. Nakazał też spółkom, żeby w ciągu trzech miesięcy dostosowały swoje strony do wymogów ochrony danych.
Postępowania CNIL wykazały, że ww. strony internetowe oferowały łatwy sposób wyrażenia zgody na wszystkie plików cookies natychmiast po wejściu na stronę, ale nie umożliwiały równie łatwego odrzucenia plików cookies. Podczas gdy zaakceptować pliki cookies można było jednym kliknięciem, do odrzucenia wszystkich plików cookies trzeba było kilku kliknięć. CNIL uznał, że takie ukształtowanie sposobu akceptacji i odrzucania plików cookies wpływa na dobrowolność zgody wyrażanej przez użytkownika: użytkownikom internetu zależy na szybkości, dlatego fakt, że nie mogą odrzucić plików cookies równie łatwo jak je zaakceptować, skłania ich do akceptacji plików cookies. Ponadto CNIL stwierdził również, że Facebook przekazywał użytkownikom niejasne instrukcje dotyczące odrzucania plików cookies, które wprowadzały ich w błąd co do rzeczywistej możliwości ich odrzucenia.
Powyższe decyzje wpisują się w wytyczne CNIL dotyczące plików cookie i podobnych technologii z października 2020 r. oraz zalecenia dotyczące akceptowalnych metod uzyskiwania zgody użytkowników na przechowywanie lub odczytywanie plików cookies i podobnych technologii, które nie są kwalifikowane jako niezbędne.
Najważniejsze wnioski
Z powyższych decyzji wynika m.in., że każdy operator strony internetowej powinien sprawdzić, czy:
- pliki cookies inne niż niezbędne nie są instalowane na urządzeniu końcowym, zanim użytkownik wyrazi na to zgodę,
- użytkownik może równie łatwo odrzucić pliki cookies i wycofać zgodę na określone pliki cookies, jak je zaakceptować (wyrazić zgodę),
- informacje na temat plików cookies zawarte w banerze cookies i polityce cookies są przejrzyste i zrozumiałe – dla użytkownika musi być jasne, w jaki sposób może wycofać wyrażoną zgodę lub odrzucić wszystkie pliki cookie,
- korzystanie z Google Analytics obejmuje przetwarzanie danych osobowych, a jeśli tak, to czy parametry Google Analytics można zmodyfikować w taki sposób, by zapewnić zgodność z przepisami o ochronie danych. Jeśli taka zmiana parametrów nie jest możliwa, zaleca się skorzystanie z alternatywnych narzędzi, które nie wiążą się z transferem danych poza EOG,
- używa na swoich stron internetowych innych narzędzi, które mogą wiązać się z transferami danych do USA. W takim przypadku należy albo przestać z nich korzystać, albo przystąpić do anonimizacji przetwarzanych danych, chyba że dostawcy takich narzędzi są w stanie wykazać, że zostały podjęte dodatkowe środki uzupełniające zapewniające odpowiedni stopień ochrony. Należy jednak pamiętać, że obecnie organy nadzorcze mają tendencję do uznawania takich środków uzupełniających za generalnie niewystarczające – nawet gdy dostawca deklaruje, że serwery znajdują się w UE, jeśli istnieje potencjalna możliwość transferu danych do USA.
Przyszłość plików cookies
Chociaż pliki cookies nie są nową technologią, organy nadzorcze wciąż kształtują swoje podejście do ich stosowania i oceny ich zgodności z przepisami o ochronie danych. W efekcie skarg NOYB złożonych w ubiegłym roku należy oczekiwać, że w najbliższym czasie organy nadzorcze w różnych państwach członkowskich wydadzą szereg decyzji, które będą dalej kształtować unijne podejście do plików cookies. Na początku marca NOYB ogłosił, że złożył kolejną serię skarg do operatorów stron internetowych, których banery cookies nie odpowiadają wymogom RODO.
Aby uniknąć rozbieżności w praktyce decyzyjnej tych organów i wypracować wspólne podejście na poziomie UE w tym względzie, we wrześniu 2021 r. Europejska Rada Ochrony Danych (EROD) powołała grupę zadaniową ds. banerów cookie. W najbliższym czasie można więc oczekiwać wytycznych EROD dotyczących stosowania plików cookie. Działalność organów nadzorczych i EROD będą z pewnością miały kluczowe znaczenie dla administratorów stron internetowych stosujących pliki cookies, zanim pojawi się długo wyczekiwane rozporządzenie e-Privacy.
Iga Małobęcka-Szwast
[1] Wyrok TSUE z 16 lipca 2020 r. w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Limited i Maximillianowi Schremsowi.